漏洞标题
Fides配置API端点中的信息泄露漏洞
漏洞描述信息
## 漏洞概述
Fides 是一个用于管理数据隐私请求并实施隐私法规的开源隐私工程平台。Fides Web服务器API允许用户通过 `GET api/v1/config` 端点获取其配置信息。尽管配置数据会被过滤掉大部分敏感信息,但仍未完全屏蔽有关内部、后端基础设施的有用信息,这些信息对低权限用户来说不应被暴露。此漏洞允许具有低于所有者权限的Admin UI用户通过API获取配置信息。
## 影响版本
已在 Fides 版本 `2.22.1` 中修复。
## 细节
Fides Web服务器API 提供了一个端点 `GET api/v1/config` 允许用户获取配置信息。尽管返回的数据经过过滤,以屏蔽掉大部分敏感信息,但仍暴露了有关内部结构和后端基础设施的细节,如设置、服务器地址和端口以及数据库用户名等。未经授权的低权限用户可以通过该API获取这些信息。
## 影响
此漏洞允许低权限用户获取敏感的内部配置信息,可能被用于攻击。此漏洞在 `2.22.1` 版本中被修复。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
漏洞类别
信息暴露
漏洞标题
Fides Information Disclosure Vulnerability in Config API Endpoint
漏洞描述信息
Fides is an open-source privacy engineering platform for managing the fulfillment of data privacy requests in a runtime environment, and the enforcement of privacy regulations in code. The Fides webserver API allows users to retrieve its configuration using the `GET api/v1/config` endpoint. The configuration data is filtered to suppress most sensitive configuration information before it is returned to the user, but even the filtered data contains information about the internals and the backend infrastructure, such as various settings, servers’ addresses and ports and database username. This information is useful for administrative users as well as attackers, thus it should not be revealed to low-privileged users. This vulnerability allows Admin UI users with roles lower than the owner role e.g. the viewer role to retrieve the config information using the API. The vulnerability has been patched in Fides version `2.22.1`.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
漏洞类别
信息暴露
漏洞标题
Fides 安全漏洞
漏洞描述信息
Fides是一个开源隐私工程平台,用于管理运行时环境中数据隐私请求的实现以及代码中隐私法规的执行。 Fides 2.22.1之前版本存在安全漏洞,该漏洞源于API允许用户使用GET api/v1/config端点检索其配置,配置数据在返回给用户之前会被过滤以抑制最敏感的配置信息。
CVSS信息
N/A
漏洞类别
其他